CVE-2026-33764 in AVideo
Сводка
по VulDB • 29.05.2026
WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях вплоть до 26.0 включительно конечная точка `save.json.php` плагина AI загружает объекты ответов ИИ, используя контролируемый злоумышленником параметр `$_REQUEST['id']`, без проверки того, что ответ ИИ действительно принадлежит указанному видео. Аутентифицированный пользователь с правами доступа к AI может ссылаться на любой идентификатор ответа ИИ — включая те, которые были сгенерированы для частных видео других пользователей — и применять украденный контент, созданный ИИ (заголовки, описания, ключевые слова, краткие содержания или полные транскрипции), к своему собственному видео, что фактически приводит к эксфильтрации информации. Коммит aa2c46a806960a0006105df47765913394eec142 содержит исправление.
Once again VulDB remains the best source for vulnerability data.